Linux系统被入侵后使用lsof命令恢复被删除日志的方法(linux系统入侵检测软件有哪些)

编辑：rootadmin

推荐整理分享Linux系统被入侵后使用lsof命令恢复被删除日志的方法(linux系统入侵检测软件有哪些)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:linux系统入侵检测工具,linux入侵windows,linux会被入侵吗,linux系统入侵网站,linux系统被入侵如何进行排查和处理,linux系统入侵网站,linux系统被入侵如何进行排查,linux系统入侵检测工具,内容如对您有帮助，希望把文章链接给更多的朋友！

Linux系统是服务器最常见的操作系统，当然也面临着非常多的安全事件，相较Windows操作系统，Linux采用了明确的访问权限控制和全面的管理工具，具有非常高的安全性和稳定性。Linux系统被入侵后，攻击者为了掩盖踪迹，经常会清除系统中的各种日志，包括Web的access和error日志、last日志、message日志、secure日志等，给我们后期应急响应和取证分析带来了非常大的阻力。所以，恢复被清除的日志是非常重要的取证和分析环节，一下是使用lsof命令恢复日志文件的案例，适用于常见的日志恢复工作。

一、前提条件

不能关闭服务器，不能关闭相关服务或进程，如恢复apache的访问日志 /var/log/httpd/access_log ，不能关闭或者重启服务器系统，也不能重启httpd服务。

Linux系统被入侵后使用lsof命令恢复被删除日志的方法(linux系统入侵检测软件有哪些)

二、实施过程

1. 找到相关进程pid复制代码代码如下:[root@localhost ~]# lsof | grep access_loghttpd root 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_log这里我们重点关注一下第一、第二、第三、第四列，分别表示进程名、pid、用户、文件描述符，我们看到这里的文件描述符是7w，所以我们在下一步操作过程要记住这个7.

2. 找回日志

复制代码代码如下:[root@localhost ~]# wc -l /proc//fd/ /proc//fd/7[root@localhost ~]# cat /proc//fd/7 > /var/log/httpd/access_log我们先通过wc或者tail命令查看日志信息，然后再将日志重写到access_log中即可。

三、总结

在Linux系统的/proc 分区下保存着进程的目录和名字，包含fd(文件描述符)和其下的子目录（进程打开文件的链接），那么如果删除了一个文件，还存在一个 inode的引用：/proc/进程号/fd/文件描述符。我们只要知道当前打开文件的进程pid和文件描述符fd就能利用lsof工具列出进程打开的文件。通过lsof我们就可以进行简单的文件恢复工作，当然这里不局限于日志文件，只要是存在引用的文件。

Linux系统怎么搭建Samba共享服务器？ Samba是Linux发行版常用的文件共享服务器，可用于实现与Windows系统之间的文件共享交换，让即时不了解Linux的用户也能够轻易的访问Linux系统中的文件。

Linux系统chmod命令的含义和权限详解许多喜欢使用chmod命令的用户，对chmod命令的含义和权限仍然不是很清楚，因此在使用的时候对它们造成了一定的麻烦。为了解决这些用户的迷惑，今天

Linux系统如何制作Video将摄像头的内容显示出来现在电脑上可以使用摄像头进行录像做成Video视频，那么在Linux系统下要如何实现呢？首先在制作前需要对内核进行升级，下面随小编一起来学习下吧。